Vyhledávání na webu

5 nejlepších nástrojů pro správu protokolů s otevřeným zdrojovým kódem pro Linux


Když běží operační systém, jako je Linux, dochází k mnoha událostem a procesům, které běží na pozadí, aby bylo možné efektivně a spolehlivě využívat systémové prostředky. K těmto událostem může dojít v systémovém softwaru, například v procesu init nebo systemd nebo v uživatelských aplikacích, jako je Apache, MySQL , FTP a mnoho dalších.

Aby správci systému porozuměli stavu systému a různých aplikací a jak fungují, musí v produkčním prostředí denně kontrolovat soubory protokolu.

Dokážete si představit, že byste museli kontrolovat soubory protokolů z několika systémových oblastí a aplikací, v tom se systémy protokolování hodí. Pomáhají monitorovat, kontrolovat, analyzovat a dokonce generovat zprávy z různých souborů protokolu podle konfigurace správce systému.

V tomto článku se podíváme na čtyři nejpoužívanější open-source systémy pro správu protokolů v současnosti v Linuxu, standardní protokol protokolování ve většině, ne-li ve všech dnešních distribucích, je Syslog.

1. ManageEngine EventLog Analyzer

ManageEngine EventLog Analyzer je on-premise řešení pro správu protokolů navržené pro podniky všech velikostí v různých odvětvích, jako jsou informační technologie, zdravotnictví, maloobchod, finance, vzdělávání a další. Řešení poskytuje uživatelům sběr protokolů na bázi agentů i bez agentů, možnosti analýzy protokolů, výkonný vyhledávač protokolů a možnosti archivace protokolů.

Díky funkci auditu síťových zařízení umožňuje uživatelům v reálném čase monitorovat svá koncová zařízení, firewally, směrovače, přepínače a další. Řešení zobrazuje analyzovaná data ve formě grafů a intuitivních reportů.

Mechanismy detekce incidentů EventLog Analyzer, jako je korelace protokolu událostí, zpravodajství o hrozbách, implementace rámce MITER ATT&CK, pokročilá analýza hrozeb a další, pomáhají odhalit bezpečnostní hrozby, jakmile se objeví.

Systém varování v reálném čase upozorňuje uživatele na podezřelé aktivity, takže mohou upřednostňovat vysoce rizikové bezpečnostní hrozby. A díky automatizovanému systému odezvy na incidenty mohou SOC zmírnit potenciální hrozby.

Řešení také pomáhá uživatelům splnit různé IT standardy, jako jsou PCI DSS, ISO 27001, GLBA, SOX, HIPAA, CCPA, GDPR a další. Služby založené na předplatném jsou nabízeny v závislosti na počtu zdrojů protokolů pro monitorování. Podpora je uživatelům k dispozici prostřednictvím telefonu, produktových videí a online znalostní báze.

2. Graylog 2

Graylog je přední open source a robustní centralizovaný nástroj pro správu protokolování, který se široce používá ke shromažďování a kontrole protokolů v různých prostředích, včetně testovacích a produkčních prostředí. Snadno se nastavuje a velmi se doporučuje pro malé podniky.

Graylog vám pomáhá snadno shromažďovat data z různých zařízení, včetně síťových přepínačů, směrovačů a bezdrátových přístupových bodů. Integruje se s analytickým nástrojem Elasticsearch a využívá MongoDB k ukládání dat a shromážděné protokoly nabízejí hluboký přehled a jsou užitečné při odstraňování systémových chyb a chyb.

S Graylog získáte úhledné a ospalé webové rozhraní se skvělými řídicími panely, které vám pomohou bezproblémově sledovat data. Získáte také sadu šikovných nástrojů a funkcí, které pomáhají při auditu souladu, vyhledávání hrozeb a mnoha dalších. Oznámení můžete povolit tak, aby se při splnění určité podmínky nebo při výskytu problému spustilo upozornění.

Celkově Graylog odvádí docela dobrou práci při shromažďování velkého množství dat a zjednodušuje vyhledávání a analýzu dat. Nejnovější verze je Graylog 4.0 a nabízí nové funkce, jako je tmavý režim, integrace s slack a ElasticSearch 7 a mnoho dalšího.

3. Kontrola protokolu

Logcheck je další open source nástroj pro monitorování protokolů, který se spouští jako úloha cron. Probírá tisíce souborů protokolu, aby zjistil porušení nebo systémové události, které jsou spuštěny. Logcheck poté odešle podrobné shrnutí výstrah na nakonfigurovanou e-mailovou adresu, aby upozornil operační týmy na problém, jako je neoprávněné narušení nebo chyba systému.

V tomto systému protokolování jsou vyvinuty tři různé úrovně filtrování souborů protokolu, které zahrnují:

  • Paranoidní: je určeno pro vysoce zabezpečené systémy, na kterých je spuštěno velmi málo služeb.
  • Server: toto je výchozí úroveň filtrování pro kontrolu protokolu a jeho pravidla jsou definována pro mnoho různých systémových démonů. Pravidla definovaná pod paranoidní úrovní jsou také zahrnuta pod tuto úroveň.
  • Pracovní stanice: je určena pro chráněné systémy a pomáhá filtrovat většinu zpráv. Zahrnuje také pravidla definovaná na paranoidní a serverové úrovni.

Logcheck je také schopen třídit zprávy, které mají být hlášeny, do tří možných vrstev, které zahrnují bezpečnostní události, systémové události a upozornění na útoky na systém. Administrátor systému může zvolit úroveň podrobností, do kterých budou systémové události hlášeny, v závislosti na úrovni filtrování, to však neovlivňuje bezpečnostní události a výstrahy systémových útoků.

Logcheck poskytuje následující funkce:

  • Předdefinované šablony zpráv.
  • Mechanismus pro filtrování protokolů pomocí regulárních výrazů.
  • Okamžitá e-mailová upozornění.
  • Okamžitá bezpečnostní upozornění.

4. Logwatch

Logwatch je open source a vysoce přizpůsobitelná aplikace pro sběr a analýzu protokolů. Analyzuje systémové i aplikační protokoly a generuje zprávu o tom, jak aplikace běží. Zpráva je doručena buď na příkazovém řádku, nebo prostřednictvím vyhrazené e-mailové adresy.

Logwatch si můžete snadno přizpůsobit podle svých preferencí úpravou parametrů v cestě /etc/logwatch/conf. Poskytuje také něco navíc ve formě předem napsaných skriptů PERL pro usnadnění analýzy protokolu.

Logwatch přichází s víceúrovňovým přístupem a existují 3 hlavní místa, kde jsou definovány podrobnosti o konfiguraci:

  • /usr/share/logwatch/default.conf/*
  • /etc/logwatch/conf/dist.conf/*
  • /etc/logwatch/conf/*

Všechna výchozí nastavení jsou definována v souboru /usr/share/logwatch/default.conf/logwatch.conf. Doporučená praxe je ponechat tento soubor nedotčený a místo toho vytvořit svůj vlastní konfigurační soubor na cestě /etc/logwatch/conf/ zkopírováním původního konfiguračního souboru a následným definováním vlastních nastavení.

Nejnovější verze Logwatch je verze 7.5.5 a poskytuje podporu pro dotazování žurnálu systemd přímo pomocí journalctl. Pokud si nemůžete dovolit proprietární nástroj pro správu protokolů, Logwatch vám dá klid na duši, protože budete vědět, že všechny události budou zaprotokolovány a budou doručena upozornění v případě, že se něco pokazí.

5. Logstash

Logstash je open source kanál pro zpracování dat na straně serveru, který přijímá data z mnoha zdrojů včetně místních souborů nebo distribuovaných systémů jako S3. Poté zpracovává protokoly a přesouvá je na platformy, jako je Elasticsearch, kde jsou později analyzovány a archivovány. Je to docela výkonný nástroj, protože dokáže zpracovat objemy protokolů z více aplikací a později je odeslat do různých databází nebo motorů najednou.

Logstash strukturuje nestrukturovaná data a provádí geolokační vyhledávání, anonymizuje osobní údaje a škáluje také mezi více uzly. Existuje rozsáhlý seznam zdrojů dat, které můžete nechat Logstash poslouchat potrubí, včetně SNMP, srdečních tepů, Syslog, Kafka, loutky, protokolu událostí systému Windows atd.

Logstash spoléhá na „beats“, což jsou lehcí odesílatelé dat, kteří předávají data do Logstashe za účelem analýzy a strukturování atd. Data jsou poté odesílána do jiných destinací, jako jsou Google Cloud, MongoDB a Elasticsearch k indexování. Logstash je klíčovou součástí Elastic Stack, která uživatelům umožňuje shromažďovat data v jakékoli formě, analyzovat je a vizualizovat na interaktivních panelech.

A co víc, Logstash se těší široké podpoře komunity a pravidelným aktualizacím.

souhrn

To je prozatím vše a pamatujte, že toto nejsou všechny dostupné systémy správy protokolů, které můžete v Linuxu použít. Seznam budeme průběžně kontrolovat a aktualizovat v budoucích článcích, doufám, že tento článek shledáte užitečným a můžete nám dát vědět o dalších důležitých protokolovacích nástrojích nebo systémech, které tam jsou, tím, že zanecháte komentář.